Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS políticas gestionadas para Amazon SageMaker AI
Para añadir permisos a usuarios, grupos y roles, es más fácil usar políticas AWS administradas que escribirlas usted mismo. Se necesita tiempo y experiencia para crear políticas administradas por el cliente de IAM que le proporcionen al equipo solo los permisos necesarios. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en tu AWS cuenta. Para obtener más información sobre las políticas AWS administradas, consulte las políticas AWS administradas en la Guía del IAM usuario.
AWS los servicios mantienen y AWS actualizan las políticas administradas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios agregan permisos adicionales a una política administrada de AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) a las que se asocia la política. Es más probable que los servicios actualicen una política gestionada por AWS cuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.
Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política ReadOnlyAccess AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y una descripción de las políticas de funciones laborales, consulte las políticas AWS gestionadas para las funciones laborales en la Guía del IAMusuario.
importante
Se recomienda utilizar la política más restringida que le permita llevar a cabo su caso de uso.
Las siguientes políticas AWS gestionadas, que puede adjuntar a los usuarios de su cuenta, son específicas de Amazon SageMaker AI:
-
AmazonSageMakerFullAccess— Otorga acceso completo a los recursos geoespaciales de Amazon SageMaker SageMaker AI y AI y a las operaciones compatibles. No proporciona acceso ilimitado a Amazon S3, pero admite buckets y objetos con etiquetas desagemakerespecíficas. Esta política permite IAM transferir todos los roles a Amazon SageMaker AI, pero solo permite transferir los IAM roles que contengan AmazonSageMaker «» a los AWS Glue AWS RoboMaker servicios y. AWS Step Functions -
AmazonSageMakerReadOnly— Otorga acceso de solo lectura a los recursos de Amazon SageMaker AI.
Las siguientes políticas AWS gestionadas se pueden adjuntar a los usuarios de su cuenta, pero no se recomiendan:
-
AdministratorAccess: concede todas las acciones para todos los servicios de AWS y para todos los recursos en la cuenta. -
DataScientist: concede una amplia gama de permisos para cubrir la mayoría de los casos de uso (principalmente para la inteligencia empresarial y el análisis) que detectan los analizadores de datos.
Para consultar estas políticas de permisos, inicie sesión en la consola de IAM y búsquelas.
También puedes crear tus propias IAM políticas personalizadas para permitir permisos para las acciones y los recursos de Amazon SageMaker AI cuando los necesites. Puede asociar estas políticas personalizadas a los usuarios o grupos de que las requieran.
Temas
- AWS política gestionada: AmazonSageMakerFullAccess
- AWS política gestionada: AmazonSageMakerReadOnly
- AWS políticas gestionadas para Amazon SageMaker Canvas
- AWS políticas gestionadas para Amazon SageMaker Feature Store
- AWS políticas gestionadas para Amazon SageMaker geospatial
- AWS Políticas gestionadas para Amazon SageMaker Ground Truth
- AWS políticas gestionadas para Amazon SageMaker HyperPod
- AWS Políticas gestionadas para la gobernanza del modelo de SageMaker IA
- AWS Políticas gestionadas para el registro de modelos
- AWS Políticas gestionadas para SageMaker ordenadores portátiles
- AWS Políticas gestionadas para SageMaker oleoductos
- AWS políticas gestionadas para planes SageMaker de formación
- AWS Políticas gestionadas para SageMaker proyectos y JumpStart
- SageMaker Actualizaciones de IA de las políticas AWS gestionadas
AWS política gestionada: AmazonSageMakerFullAccess
Esta política otorga permisos administrativos que permiten a los principales acceder plenamente a todos los recursos y operaciones geoespaciales de Amazon SageMaker SageMaker AI y AI. La política también brinda acceso selecto a los servicios relacionados. Esta política permite transferir todas las IAM funciones a Amazon SageMaker AI, pero solo permite que las IAM funciones que contengan AmazonSageMaker «» se transfieran a los AWS Glue AWS RoboMaker servicios y. AWS Step Functions Esta política no incluye los permisos para crear un dominio de Amazon SageMaker AI. Para obtener información sobre la política necesaria para crear un dominio, consulte Complete los requisitos previos de Amazon SageMaker AI.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
application-autoscaling— Permite a los directores escalar automáticamente un punto final de inferencia de SageMaker IA en tiempo real. -
athena— Permite a los directores consultar una lista de catálogos de datos, bases de datos y metadatos de tablas desde. Amazon Athena -
aws-marketplace— Permite a los directores ver las suscripciones de AWS AI Marketplace. Lo necesitas si quieres acceder al software de SageMaker IA al que estás suscrito. AWS Marketplace -
cloudformation— Permite a los directores obtener AWS CloudFormation plantillas para usar JumpStart soluciones y canalizaciones de SageMaker IA. SageMaker La IA JumpStart crea los recursos necesarios para ejecutar soluciones end-to-end de aprendizaje automático que vinculan la SageMaker IA a otros AWS servicios. SageMaker AI Pipelines crea nuevos proyectos respaldados por Service Catalog. -
cloudwatch— Permite a los directores publicar CloudWatch métricas, interactuar con las alarmas y cargar registros en los registros de su cuenta. CloudWatch -
codebuild— Permite a los directores almacenar AWS CodeBuild artefactos para proyectos y proyectos de SageMaker IA. -
codecommit— Necesario para AWS CodeCommit la integración con instancias de cuadernos de SageMaker IA. -
cognito-idp— Necesario para que Amazon SageMaker Ground Truth defina la fuerza laboral privada y los equipos de trabajo. -
ec2— Necesario para que la SageMaker IA gestione EC2 los recursos y las interfaces de red de Amazon cuando especificas un Amazon VPC para tus trabajos, modelos, puntos finales e instancias de cuadernos de SageMaker IA. -
ecr— Necesario para extraer y almacenar artefactos de Docker para Amazon SageMaker Studio Classic (imágenes personalizadas), entrenamiento, procesamiento, inferencia por lotes y puntos finales de inferencia. Esto también es necesario para usar tu propio contenedor en IA. SageMaker Se requieren permisos adicionales para JumpStart las soluciones de SageMaker IA para crear y eliminar imágenes personalizadas en nombre de los usuarios. -
elasticfilesystem: permite a las entidades principales acceder a Amazon Elastic File System. Esto es necesario para que la SageMaker IA utilice las fuentes de datos de Amazon Elastic File System para entrenar modelos de aprendizaje automático. -
fsx— Permite a los directores acceder a AmazonFSx. Esto es necesario para que la SageMaker IA utilice las fuentes de datos de Amazon FSx para entrenar modelos de aprendizaje automático. -
glue— Necesario para el procesamiento previo del proceso de inferencia desde instancias de cuadernos de SageMaker IA. -
groundtruthlabeling: se requiere para los trabajos de etiquetado de Ground Truth. Se accede al punto de conexióngroundtruthlabelingmediante la consola de Ground Truth. -
iam— Necesario para permitir a la consola de SageMaker IA acceder a las IAM funciones disponibles y crear funciones vinculadas a los servicios. -
kms— Necesario para permitir a la consola de SageMaker IA acceder a AWS KMS las claves disponibles y recuperarlas para cualquier AWS KMS alias específico en las tareas y los puntos finales. -
lambda: permite a las entidades principales invocar y obtener una lista de funciones de AWS Lambda . -
logs— Necesario para permitir que los trabajos y puntos finales de SageMaker IA publiquen flujos de registro. -
redshift: permite a las entidades principales acceder a las credenciales del clúster de Amazon Redshift. -
redshift-data: permite a las entidades principales utilizar los datos de Amazon Redshift para ejecutar, describir y cancelar instrucciones; obtener los resultados de instrucciones; y enumerar esquemas y tablas. -
robomaker— Permite a los directores tener acceso completo para crear, obtener descripciones y eliminar aplicaciones y trabajos de AWS RoboMaker simulación. También se requiere para ejecutar ejemplos de aprendizaje por refuerzo en instancias de cuadernos. -
s3, s3express— Permite a los directores tener acceso completo a los recursos de Amazon S3 y Amazon S3 Express relacionados con la SageMaker IA, pero no a todos los de Amazon S3 o Amazon S3 Express. -
sagemaker— Permite a los directores enumerar etiquetas en los perfiles de usuario de SageMaker IA y añadir etiquetas a aplicaciones y espacios de SageMaker IA. Solo permite el acceso a las definiciones de sagemaker relacionadas con el flujo de SageMaker IA: WorkteamType «private-crowd» o «vendor-crowd». Permite utilizar y describir los planes de formación en SageMaker IA y la capacidad reservada en tareas de formación y SageMaker HyperPod agrupaciones en todas las AWS regiones en las que se pueda acceder a la función de planes de SageMaker formación. -
sagemakerysagemaker-geospatial: permite a los directores acceder de solo lectura a los dominios y perfiles de usuario de la SageMaker IA. -
secretsmanager: permite a las entidades principales obtener acceso completo a AWS Secrets Manager. Las entidades principales le ayudan a cifrar, almacenar y recuperar de forma segura las credenciales de las bases de datos y otros servicios. Esto también es necesario para las instancias de cuadernos de SageMaker IA con los repositorios de código de SageMaker IA que utilizan. GitHub -
servicecatalog: permite a las entidades principales utilizar Service Catalog. Los directores pueden crear, obtener una lista, actualizar o cancelar los productos aprovisionados, como servidores, bases de datos, sitios web o aplicaciones desplegados mediante recursos. AWS Esto es necesario para que SageMaker AI JumpStart y Projects encuentren y lean los productos del catálogo de servicios y ofrezcan AWS recursos a los usuarios. -
sns— Permite a los directores obtener una lista de SNS temas de Amazon. Se requiere para los puntos de conexión con inferencia asíncrona habilitada para notificar a los usuarios que su inferencia se ha completado. -
states— Necesario para que SageMaker AI JumpStart y Pipelines utilicen un catálogo de servicios para crear recursos de funciones escalonadas. -
tag— Necesario para que SageMaker AI Pipelines se renderice en Studio Classic. Studio Classic requiere que los recursos estén etiquetados con una clave de etiquetasagemaker:project-iddeterminada. Esto requiere el permisotag:GetResources.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllNonAdminSageMakerActions", "Effect": "Allow", "Action": [ "sagemaker:*", "sagemaker-geospatial:*" ], "NotResource": [ "arn:aws:sagemaker:*:*:domain/*", "arn:aws:sagemaker:*:*:user-profile/*", "arn:aws:sagemaker:*:*:app/*", "arn:aws:sagemaker:*:*:space/*", "arn:aws:sagemaker:*:*:partner-app/*", "arn:aws:sagemaker:*:*:flow-definition/*", "arn:aws:sagemaker:*:*:training-plan/*", "arn:aws:sagemaker:*:*:reserved-capacity/*" ] }, { "Sid": "AllowAddTagsForSpace", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:space/*" ], "Condition": { "StringEquals": { "sagemaker:TaggingAction": "CreateSpace" } } }, { "Sid": "AllowAddTagsForApp", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:app/*" ] }, { "Sid": "AllowUseOfTrainingPlanResources", "Effect": "Allow", "Action": [ "sagemaker:CreateTrainingJob", "sagemaker:CreateCluster", "sagemaker:UpdateCluster", "sagemaker:DescribeTrainingPlan" ], "Resource": [ "arn:aws:sagemaker:*:*:training-plan/*", "arn:aws:sagemaker:*:*:reserved-capacity/*" ] }, { "Sid": "AllowStudioActions", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeDomain", "sagemaker:ListDomains", "sagemaker:DescribeUserProfile", "sagemaker:ListUserProfiles", "sagemaker:DescribeSpace", "sagemaker:ListSpaces", "sagemaker:DescribeApp", "sagemaker:ListApps" ], "Resource": "*" }, { "Sid": "AllowAppActionsForUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*", "Condition": { "Null": { "sagemaker:OwnerUserProfileArn": "true" } } }, { "Sid": "AllowAppActionsForSharedSpaces", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*", "Condition": { "StringEquals": { "sagemaker:SpaceSharingType": [ "Shared" ] } } }, { "Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner", "Effect": "Allow", "Action": [ "sagemaker:CreateSpace", "sagemaker:UpdateSpace", "sagemaker:DeleteSpace" ], "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "Null": { "sagemaker:OwnerUserProfileArn": "true" } } }, { "Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateSpace", "sagemaker:UpdateSpace", "sagemaker:DeleteSpace" ], "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "ArnLike": { "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" }, "StringEquals": { "sagemaker:SpaceSharingType": [ "Private", "Shared" ] } } }, { "Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*", "Condition": { "ArnLike": { "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" }, "StringEquals": { "sagemaker:SpaceSharingType": [ "Private" ] } } }, { "Sid": "AllowFlowDefinitionActions", "Effect": "Allow", "Action": "sagemaker:*", "Resource": [ "arn:aws:sagemaker:*:*:flow-definition/*" ], "Condition": { "StringEqualsIfExists": { "sagemaker:WorkteamType": [ "private-crowd", "vendor-crowd" ] } } }, { "Sid": "AllowAWSServiceActions", "Effect": "Allow", "Action": [ "application-autoscaling:DeleteScalingPolicy", "application-autoscaling:DeleteScheduledAction", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:PutScalingPolicy", "application-autoscaling:PutScheduledAction", "application-autoscaling:RegisterScalableTarget", "aws-marketplace:ViewSubscriptions", "cloudformation:GetTemplateSummary", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:PutMetricData", "codecommit:BatchGetRepositories", "codecommit:CreateRepository", "codecommit:GetRepository", "codecommit:List*", "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:List*", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:CreateVpcEndpoint", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ecr:BatchCheckLayerAvailability", "ecr:BatchGetImage", "ecr:CreateRepository", "ecr:Describe*", "ecr:GetAuthorizationToken", "ecr:GetDownloadUrlForLayer", "ecr:StartImageScan", "elastic-inference:Connect", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeMountTargets", "fsx:DescribeFileSystems", "glue:CreateJob", "glue:DeleteJob", "glue:GetJob*", "glue:GetTable*", "glue:GetWorkflowRun", "glue:ResetJobBookmark", "glue:StartJobRun", "glue:StartWorkflowRun", "glue:UpdateJob", "groundtruthlabeling:*", "iam:ListRoles", "kms:DescribeKey", "kms:ListAliases", "lambda:ListFunctions", "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DeleteLogDelivery", "logs:Describe*", "logs:GetLogDelivery", "logs:GetLogEvents", "logs:ListLogDeliveries", "logs:PutLogEvents", "logs:PutResourcePolicy", "logs:UpdateLogDelivery", "robomaker:CreateSimulationApplication", "robomaker:DescribeSimulationApplication", "robomaker:DeleteSimulationApplication", "robomaker:CreateSimulationJob", "robomaker:DescribeSimulationJob", "robomaker:CancelSimulationJob", "secretsmanager:ListSecrets", "servicecatalog:Describe*", "servicecatalog:List*", "servicecatalog:ScanProvisionedProducts", "servicecatalog:SearchProducts", "servicecatalog:SearchProvisionedProducts", "sns:ListTopics", "tag:GetResources" ], "Resource": "*" }, { "Sid": "AllowECRActions", "Effect": "Allow", "Action": [ "ecr:SetRepositoryPolicy", "ecr:CompleteLayerUpload", "ecr:BatchDeleteImage", "ecr:UploadLayerPart", "ecr:DeleteRepositoryPolicy", "ecr:InitiateLayerUpload", "ecr:DeleteRepository", "ecr:PutImage" ], "Resource": [ "arn:aws:ecr:*:*:repository/*sagemaker*" ] }, { "Sid": "AllowCodeCommitActions", "Effect": "Allow", "Action": [ "codecommit:GitPull", "codecommit:GitPush" ], "Resource": [ "arn:aws:codecommit:*:*:*sagemaker*", "arn:aws:codecommit:*:*:*SageMaker*", "arn:aws:codecommit:*:*:*Sagemaker*" ] }, { "Sid": "AllowCodeBuildActions", "Action": [ "codebuild:BatchGetBuilds", "codebuild:StartBuild" ], "Resource": [ "arn:aws:codebuild:*:*:project/sagemaker*", "arn:aws:codebuild:*:*:build/*" ], "Effect": "Allow" }, { "Sid": "AllowStepFunctionsActions", "Action": [ "states:DescribeExecution", "states:GetExecutionHistory", "states:StartExecution", "states:StopExecution", "states:UpdateStateMachine" ], "Resource": [ "arn:aws:states:*:*:statemachine:*sagemaker*", "arn:aws:states:*:*:execution:*sagemaker*:*" ], "Effect": "Allow" }, { "Sid": "AllowSecretManagerActions", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "AllowReadOnlySecretManagerActions", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "AllowServiceCatalogProvisionProduct", "Effect": "Allow", "Action": [ "servicecatalog:ProvisionProduct" ], "Resource": "*" }, { "Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct", "Effect": "Allow", "Action": [ "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } } }, { "Sid": "AllowS3ObjectActions", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*", "arn:aws:s3:::*aws-glue*" ] }, { "Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*" ], "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" } } }, { "Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*" ], "Condition": { "StringEquals": { "s3:ExistingObjectTag/servicecatalog:provisioning": "true" } } }, { "Sid": "AllowS3BucketActions", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketCors", "s3:PutBucketCors" ], "Resource": "*" }, { "Sid": "AllowS3BucketACL", "Effect": "Allow", "Action": [ "s3:GetBucketAcl", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "AllowLambdaInvokeFunction", "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "arn:aws:lambda:*:*:function:*SageMaker*", "arn:aws:lambda:*:*:function:*sagemaker*", "arn:aws:lambda:*:*:function:*Sagemaker*", "arn:aws:lambda:*:*:function:*LabelingFunction*" ] }, { "Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } }, { "Sid": "AllowCreateServiceLinkedRoleForRobomaker", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "robomaker.amazonaws.com" } } }, { "Sid": "AllowSNSActions", "Effect": "Allow", "Action": [ "sns:Subscribe", "sns:CreateTopic", "sns:Publish" ], "Resource": [ "arn:aws:sns:*:*:*SageMaker*", "arn:aws:sns:*:*:*Sagemaker*", "arn:aws:sns:*:*:*sagemaker*" ] }, { "Sid": "AllowPassRoleForSageMakerRoles", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*AmazonSageMaker*", "Condition": { "StringEquals": { "iam:PassedToService": [ "glue.amazonaws.com", "robomaker.amazonaws.com", "states.amazonaws.com" ] } } }, { "Sid": "AllowPassRoleToSageMaker", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "AllowAthenaActions", "Effect": "Allow", "Action": [ "athena:ListDataCatalogs", "athena:ListDatabases", "athena:ListTableMetadata", "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": [ "*" ] }, { "Sid": "AllowGlueCreateTable", "Effect": "Allow", "Action": [ "glue:CreateTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:table/sagemaker_featurestore/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueUpdateTable", "Effect": "Allow", "Action": [ "glue:UpdateTable" ], "Resource": [ "arn:aws:glue:*:*:table/sagemaker_featurestore/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker_featurestore" ] }, { "Sid": "AllowGlueDeleteTable", "Effect": "Allow", "Action": [ "glue:DeleteTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueGetTablesAndDatabases", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueGetAndCreateDatabase", "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:GetDatabase" ], "Resource": [ "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker_featurestore", "arn:aws:glue:*:*:database/sagemaker_processing", "arn:aws:glue:*:*:database/default", "arn:aws:glue:*:*:database/sagemaker_data_wrangler" ] }, { "Sid": "AllowRedshiftDataActions", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": [ "*" ] }, { "Sid": "AllowRedshiftGetClusterCredentials", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "AllowListTagsForUserProfile", "Effect": "Allow", "Action": [ "sagemaker:ListTags" ], "Resource": [ "arn:aws:sagemaker:*:*:user-profile/*" ] }, { "Sid": "AllowCloudformationListStackResources", "Effect": "Allow", "Action": [ "cloudformation:ListStackResources" ], "Resource": "arn:aws:cloudformation:*:*:stack/SC-*" }, { "Sid": "AllowS3ExpressObjectActions", "Effect": "Allow", "Action": [ "s3express:CreateSession" ], "Resource": [ "arn:aws:s3express:*:*:bucket/*SageMaker*", "arn:aws:s3express:*:*:bucket/*Sagemaker*", "arn:aws:s3express:*:*:bucket/*sagemaker*", "arn:aws:s3express:*:*:bucket/*aws-glue*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ExpressCreateBucketActions", "Effect": "Allow", "Action": [ "s3express:CreateBucket" ], "Resource": [ "arn:aws:s3express:*:*:bucket/*SageMaker*", "arn:aws:s3express:*:*:bucket/*Sagemaker*", "arn:aws:s3express:*:*:bucket/*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ExpressListBucketActions", "Effect": "Allow", "Action": [ "s3express:ListAllMyDirectoryBuckets" ], "Resource": "*" } ] }
AWS política gestionada: AmazonSageMakerReadOnly
Esta política otorga acceso de solo lectura a Amazon SageMaker AI a través de AWS Management Console y. SDK
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
application-autoscaling— Permite a los usuarios consultar las descripciones de los puntos finales de inferencia escalables de la SageMaker IA en tiempo real. -
aws-marketplace— Permite a los usuarios ver las suscripciones de AWS AI Marketplace. -
cloudwatch— Permite a los usuarios recibir CloudWatch alarmas. -
cognito-idp— Necesario para que Amazon SageMaker Ground Truth explore las descripciones y listas de personal y equipos de trabajo privados. -
ecr: se requiere para leer artefactos de Docker para el entrenamiento y la inferencia.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:Describe*", "sagemaker:List*", "sagemaker:BatchGetMetrics", "sagemaker:GetDeviceRegistration", "sagemaker:GetDeviceFleetReport", "sagemaker:GetSearchSuggestions", "sagemaker:BatchGetRecord", "sagemaker:GetRecord", "sagemaker:Search", "sagemaker:QueryLineage", "sagemaker:GetLineageGroupPolicy", "sagemaker:BatchDescribeModelPackage", "sagemaker:GetModelPackageGroupPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "aws-marketplace:ViewSubscriptions", "cloudwatch:DescribeAlarms", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:ListUsers", "cognito-idp:ListUsersInGroup", "ecr:Describe*" ], "Resource": "*" } ] }
SageMaker Actualizaciones de IA de las políticas AWS gestionadas
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas para la SageMaker IA desde que este servicio comenzó a rastrear estos cambios.
| Política | Versión | Cambio | Date |
|---|---|---|---|
AmazonSageMakerFullAccess: actualización de una política existente |
27 |
|
4 de diciembre de 2024 |
AmazonSageMakerFullAccess: actualización de una política existente |
26 |
Se agregó el permiso |
29 de marzo de 2024 |
AmazonSageMakerFullAccess - Actualización de una política existente |
25 |
Se han añadido los permisos |
30 de noviembre de 2023 |
AmazonSageMakerFullAccess - Actualización a una política existente |
24 |
Se agregaron los permisos |
30 de noviembre de 2022 |
AmazonSageMakerFullAccess - Actualización a una política existente |
23 |
Añada |
29 de junio de 2022 |
AmazonSageMakerFullAccess - Actualización a una política existente |
22 |
Añada |
1 de mayo de 2022 |
AmazonSageMakerReadOnly: actualización de una política existente |
11 |
Se agregaron los permisos |
1 de diciembre de 2021 |
AmazonSageMakerFullAccess - Actualización a una política existente |
21 |
Se agregaron los permisos |
8 de septiembre de 2021 |
AmazonSageMakerFullAccess - Actualización a una política existente |
20 |
Se actualizaron los recursos y los permisos de |
15 de julio de 2021 |
AmazonSageMakerReadOnly - Actualización a una política existente |
10 |
API |
10 de junio de 2021 |
|
SageMaker AI comenzó a rastrear los cambios en sus políticas AWS gestionadas. |
1 de junio de 2021 |
